挑戰(zhàn)口令安全領(lǐng)域未攻克的基礎(chǔ)難題

　　在口令安全領(lǐng)域，一個長期未攻克的基礎(chǔ)難題是，在攻擊者未獲取網(wǎng)站服務(wù)器口令存儲文件的情況下，如何以最少猜測次數(shù)確定目標(biāo)用戶的口令。于是，汪定決定挑戰(zhàn)這個難題。因為口令猜測研究過去一直局限于漫步猜測，關(guān)于利用個人信息加速口令在線猜測的研究極少?！斑@不符合我們的密碼使用習(xí)慣，就像黑客知道了我們的郵箱賬號、姓名或者生日，可以據(jù)此猜測支付寶賬號?！?/p>

　　汪定說，長期以來，學(xué)術(shù)界和工業(yè)界都普遍認為口令在線猜測攻擊可以輕易防范，比如采用動態(tài)驗證碼機制、限制每日失敗登錄次數(shù)、限制失敗登錄頻率等。美國國家標(biāo)準(zhǔn)NISTSP-800-63-2也持這一觀點，該標(biāo)準(zhǔn)是用來指導(dǎo)美國政府、企業(yè)和各種組織對各種涉密信息系統(tǒng)如何進行用戶身份認證的指南。

　　“這一觀點背后的自信源于對攻擊者成功率的低估，可事實上，隨著科技的發(fā)展，現(xiàn)在黑客的攻擊現(xiàn)象頻發(fā)，現(xiàn)有的防御方法對定向口令在線猜測攻擊來說是束手無策的，比如時常發(fā)生的銀行卡、QQ等用戶密碼被盜的情況。所以，必須要改進現(xiàn)有的在線口令猜測的防御機制?！蓖舳ㄕf。

　　針對“給定網(wǎng)站和目標(biāo)用戶的相關(guān)個人信息，如何以最少猜測次數(shù)確定目標(biāo)用戶的口令”這一問題，汪定團隊提出了一個定向口令在線猜測攻擊框架。該框架包含7個概率攻擊模型，分別刻畫7種不同能力的現(xiàn)實攻擊方法，且實現(xiàn)口令猜測過程自動化，其中5種攻擊方法為首次研究。

　　在9600萬條真實口令數(shù)據(jù)的測試結(jié)果顯示，在允許猜測100次的前提下，如果攻擊者僅知道目標(biāo)用戶的一些常見個人信息，成功率約為20%；如果還知道該用戶曾在其他網(wǎng)站泄露的一個口令，成功率可提升至77%。

　　汪定團隊的這一結(jié)果大大超出此前人們的預(yù)期。因為這個結(jié)果意味著，當(dāng)前這些防御在線口令猜測的安全機制（如動態(tài)驗證碼機制、限制每日失敗登錄次數(shù)、限制失敗登錄頻率燈）遠遠不夠的。如果攻擊者利用他們團隊提出的攻擊方法，各種普通的計算機系統(tǒng)、網(wǎng)站，甚至涉密信息系統(tǒng)的大門對攻擊者來說是敞開的。

　　研究成果促使美國身份認證標(biāo)準(zhǔn)修改

　　2016年7月，汪定團隊的研究以《定向口令在線猜測：一種被低估的威脅》為題，發(fā)表于美國計算機協(xié)會主辦的第23屆計算機與通信安全會議（ ACM CCS）。

　　據(jù)了解，該會議被公認是網(wǎng)絡(luò)與信息安全領(lǐng)域的頂級學(xué)術(shù)會議之一（也是中國計算機學(xué)會和中國密碼學(xué)會所推薦的A類國際學(xué)術(shù)會議），創(chuàng)辦23年來，中國大陸研究機構(gòu)以第一完成單位發(fā)表的長文不超過10篇。

　　汪定團隊的這項研究成果，自去年8月底公開以來，目前已被數(shù)十個國家的200多家媒體報道，相關(guān)報道涵蓋20多種語言。該成果已成為包括美國普渡大學(xué)在內(nèi)的歐美多所高校2016秋季學(xué)期的授課內(nèi)容。

　　美國國家標(biāo)準(zhǔn)與技術(shù)研究院曾就其數(shù)字認證安全指南（NIST SP-800-63-3）向汪定和論文作者們征詢防御措施。2016年9月18日，美國國家身份認證指南（NIST SP800-63-3）根據(jù)該結(jié)果，修訂了在線猜測防御部分的內(nèi)容。

　　汪定在癡迷科研的同時，還積極承擔(dān)多項學(xué)術(shù)服務(wù)工作。2016年，他應(yīng)邀擔(dān)任國際電氣和電子工程師協(xié)會匯刊（IEEE Trans）和《中國科學(xué)》等50多個國內(nèi)外期刊和會議審稿人；擔(dān)任16個ACM/IEEE國際學(xué)術(shù)會議的程序委員會委員，包括如IEEE TrustCom、ICPADS、ISPEC、ProvSec等著名國際會議，委員們基本都是國際知名教授，極少有在讀學(xué)生；4次受邀在國內(nèi)外學(xué)術(shù)會議作大會特邀報告。

　　采訪中，汪定說，在北大求學(xué)中，令他最難忘的是，一次外出參加學(xué)術(shù)會議時，一位教授曾當(dāng)面對他說：“你符合我對北大學(xué)生的印象?！边@句話讓他深感做為一名北大學(xué)子所肩負的社會期望和責(zé)任，只有不斷追求卓越，才會不負青春，才堪稱未名學(xué)子。